Apple vá hàng loạt lỗ hổng trong iOS, OS X, iTunes, Xcode
Thứ tư vừa qua Apple phát hành hàng loạt bản cập nhật phần mềm cung cấp tính năng mới cho thiết bị và giải quyết rất nhiều lỗ hổng trong iOS, Mac OS X, iTunes và Xcode. Hơn 100 lỗ hổng đã được xử lý trong bản phát hành mới nhất iOS 9, ảnh hưởng trong đa thành phần của hệ điều hành, ứng dụng lõi ...
Thứ tư vừa qua Apple phát hành hàng loạt bản cập nhật phần mềm cung cấp tính năng mới cho thiết bị và giải quyết rất nhiều lỗ hổng trong iOS, Mac OS X, iTunes và Xcode.
Hơn 100 lỗ hổng đã được xử lý trong bản phát hành mới nhất iOS 9, ảnh hưởng trong đa thành phần của hệ điều hành, ứng dụng lõi và những dịch vụ liên quan đến nền tảng di động như App Store, CFNetwork, Core Animation, Kernel, Mail, Safari, Siri SpringBoard, WebKit,…
33 lỗ hổng ảnh hưởng trên WebKit, 9 lỗ hổng liên quan đến CFNetwork. Đây là hai thành phần dễ tổn thương nhất trên iOS. Safari đứng thứ ba với với 8 bản vá bảo mật. Những lỗ hổng này ảnh hưởng đến tất cả iPhone 4s và các thiết bị trước đó, iPod touch (thế hệ thứ 5), iPad 2 và các thiết bị cũ hơn, có thể dẫn tới thực thi mã tùy ý, rò rỉ dữ liệu, giả mạo giao diện người dùng, từ chối dịch vụ, can thiệp truyền tải dữ liệu và gây treo ứng dụng.
Nhiều nâng cấp bảo mật được bổ sung trên iOS 9 bao gồm nâng cấp quá trình sideloading (giúp thiết bị được bảo vệ tốt hơn trước ứng dụng độc hại), cũng như cung cấp xác thực hai nhân tố và cơ chế bảo vệ passcode mạnh hơn. Lỗ hổng trong AirDrop trước đó cho phép tin tặc gửi file độc hại đến thiết bị kết nối Bluetooth mà bài viết trước đó chúng tôi đề cập cũng đã được vá.
Mac OS X Yosemite 10.10.5 nhận được 20 bản vá lỗ hổng là một phần của bản OS X Server v5.0.3 mới nhất. Các vấn đề bảo mật ảnh hưởng đến apache, BIND, PostgreSQL, và Wiki Server.
iTunes 12.3 trên Windows 7 và các phiên bản cũ nhận 66 bản vá lỗ hổng thực thi mã từ xa và giải quyết vấn đề treo ứng dụng. Một trong số đó cho phép tin tặc đoạt thông tin mã hóa SMB và thực hiện tấn công man-in-the-middle khi duyệt iTunes Store thông qua iTunes.
10 lỗ hổng được vá trong phiên bản Xcode 7.0 trên OS X Yosemite 10.10.4. Những lỗ hổng này có thể bị khai thác bypass giới hạn truy cập, truy cập đến thành phần bị cấm trong file hệ thống.
Đa số các lỗ hổng được phát hiện bởi nhân viên Apple, phần còn lại được báo cáo bởi các nhà nghiên cứu độc lập và chuyên gia từ các công ty bảo mật. Người dùng được khuyến cáo cập nhật thiết bị càng sớm càng tốt để đảm bảo mình vẫn được an toàn.
securityweek